Cisco ACS - cdigit.com · Cisco Secure ACS 5.3 Microsoft Windows Server 2003 Domain...

ـامــار ارقــاريـشـركـت ك برگزاركننده دوره هاي تخصصی فناوری اطالعات،مشاوره ، طرح و اجـراي مراکزداده ،امنیت شبکه

۳، واحد ۲، طبقه ۲۴۲، ساختمان فردوس ، پالك يـابـان مالصدرا، بعد از خيابان شيخ بهائيخ ۸۸۰۶۵۲۲۲: ، فاكس ٨٨٦١٢٩٧٩ : دپارتمان آموزش، ۲۰-۸۸۰۶۵۲۱۹: تلفـن

Cisco ACS مراحل نصب و راه اندازی

حداقل سیستم مورد نیاز

Requirement Type Minimum Requirements

CPU 2 CPUs (dual CPU, Xeon, Core2 Duo or 2 single CPUs)

Memory 4 GB RAM

Hard Disk A minimum of 60 GB is required. Maximum storage is up to 750 GB.

Note ACS partitions the available disk space automatically during the installation process.

Note It is recommended that you allocate the hard disk size to be greater than 500 GB for the secondary instance, which acts as a log collector.

NIC (Network Interface Card)

1 Gb dedicated NIC interface

Hypervisor VMware ESXi 5.0

VMware ESXi 5.0 Update 2

VMware ESXi 5.1

VMware ESXi 5.5

VMware ESXi 5.5 Update 1

:، ماشین جدید درست می کنیمvCenterبا



:مشخص کنید DataStoreمحل ذخیره در انتخاب کنید و virtual machineاسمی برای



Host ای که باید ماشین در آن جا ذخیره شود مشخص کنید:

:مشخص شود datastoreمحل ذخیره ماشین مجازی در

ESXi 5.0 (VMطبق جدول باال از . را مشخص می شود ESXiبا نسخه ی ACSسازگاری در مرحله ی بعد version 8) تاESXi 5.5 Update 1 (VM version 10) برای سازگاری بیش تر و . را پشتیبانی می کند

.استفاده بهینه از آخرین نسخه طبق جدول باال انتخاب کنید



:انتخاب کنید Other Linux (32bit)و نسخه آن را Linuxدر این جا نوع سیستم عامل را

و cpuتعداد CPUدر صفحه ی بعد با تنظیمات تخصیص سخت افزار به ماشین مجازی است؛ در نوار core بدهید و در قسمت ۱های هر کدامHT Sharing ،Internal را انتخاب کنید.



را Disk Provisioningدهید و نوع GB 60را Hardرم اختصاص دهید و میزان فضای Memory ،4GBدر Thick provision lazy zeroed انتخاب کنید.

پشتیبانی نمی ACSانتخاب نکنید زیرا Thin Provisionرا Disk Provisioningبه هیچ عنوان نوع :نکتهبسیار Performanceقرار دهید و Thick Provision eager zeroedهر چند می توانید در حالت . کند

.خوبی بگیرید



.انتخاب کنید E1000را Adapterمطمئن باشید و نوع Connect at Power onاز تیک Networkدر

.را پشتیبانی نمی کند VMXNET3و VMXNET2 (Enhance)هیچ یک از آداپتورهای ACS: نکته

گزینه ی New Deviceمی توانید در پایین صفحه از قسمت . را پشتیبانی می کند NIC 4تا ACS :نکتهNetwork را انتخاب کنید.



ذخیره datastoreانتخاب این که فایل در . انتخاب کنید ACSرا فایل ایمیج CD\DVD Driveو در پایان .به انتخاب شما بستگی دارد Clientمربوط به سرور و یا پیدا کردن ایمیج از Hostکنید و یا از

Cisco ACSکار با

پیش نیاز

ACS 5.x کامال باActive Directory قبل از کار با .ویندوز وابسته استACS کاربران مورد نظر در ،Active Directory تعریف شوند.

:حداقل سیستم های قابل استفاده

Cisco Secure ACS 5.3 Microsoft Windows Server 2003 Domain

با سطح دسترسی Userما دو . معرفی می کنیم ACSرا به Active Directoryها در Userدر درجه اول :ایجاد می کنیم - و دیگری برای پشتیبانی شبکه Adminیکی به عنوان –متفاوت

.وارد شوید ACS GUIبه Adminبا کاربری .۱۲. Users and Identity Stores > External Identity Stores > Active Directory را انتخاب کنید

و نام کاربری و رمز عبور، از صحت Active Directory Domain Nameوارد کردن و پس از .مورد نظر اطمینان حاصل کنید Domainاتصال به



.را انتخاب کنید Selectکلیک کنید و Directory Groupبر تب .۳



.کلیک کنید Saveو بر . گروه های مورد نیاز را انتخاب کنید .۴



۵. Access Policies > Access Services > Service Selection Rules بروید و نوعaccess service

Default Device Adminکه از نوع استفاده می شود +TACACSدر این مقاله از . خود را پیدا کنید .است

۶. Access Policies > Access Services > Default Device Admin > Identity را انتخاب کنید و

.کنید Saveو . را انتخاب کنید Identify Source ،AD1در



۷. Access Policies > Access Services > Default Device Admin > Authorization را انتخاب

.کلیک کنید Customizeکنید و بر



، Customize Resultsو از بخش Customize Conditions ،AD1:ExternalGroupsدر بخش .۸

Shell Profile وCommand Sets انتخاب کنید.

.جدید تعریف کنید Ruleکلیک کنید تا Createبر روی .۹



کلیک کنید و گروهی که باید سطح دسترسی ادمین داشته Selectبر AD1:ExternalGroupsدر .۱۰

.باشند را انتخاب کنید



.را برای گروه ادمین انتخاب کنید Createکلیک کنید و Selectبر روی Shell profileدر .۱۱



می Description. (بنویسید Descriptionاسم انتخاب کنید و حتما در فیلد General Tabدر .۱۲شبکه و Documentبرای تولید تواند در بسیاری از مواقع باالخص در مشکالت شبکه و هم چنین

).کمک شایانی می کند...

به علت سطح دسترسی باال به Level Privilegeکلیک کنید و در قسمت Common Tasksبر تب .۱۳

.انتخاب کنید Value ۱۵را با Maximum Privilegeو Default Privilegeگروه ادمین شبکه،

.کلیک کنید OKسپس آن اسم را انتخاب کنید و بر .۱۴



Createبر Cisco IOSهای Commandکنید و برای ایجاد مجوز Command Set ،Selectدر .۱۵

.کلیک کنید



مطمئن باشید که تیک .بنویسید Descriptionاسم انتخاب کنید و حتما در فیلد Generalدر .۱۶

Permit any command that is not in the table below باشد و برSubmit کلیک کنید.



.جدید تعریف کنید Ruleحال در این قسمت برای گروه پشتیبانی .۱۷

کلیک کنید و گروهی که باید سطح دسترسی پشتیبانی Selectبر AD1:ExternalGroupsدر .۱۸

.داشته باشند را انتخاب کنید



.را برای گروه پشتیبانی انتخاب کنید Createکلیک کنید و Selectبر روی Shell profileدر .۱۹



.بنویسید Descriptionاسم انتخاب کنید و حتما در فیلد General Tabدر .۲۰



و Level Privilege، Default Privilegeکلیک کنید و در قسمت Common Tasksبر تب .۲۱

Maximum Privilege به ترتیبValue ۱ انتخاب کنید ۱۵و.

.کلیک کنید OKسپس آن اسم را انتخاب کنید و بر .۲۲



Createبر Cisco IOSهای Commandکنید و برای ایجاد مجوز Command Set ،Selectدر .۲۳

.کلیک کنید



مطمئن باشید که تیک . بنویسید Descriptionاسم انتخاب کنید و حتما در فیلد Generalدر .۲۴

Permit any command that is not in the table below نباشد و درGrant گزینه یPermit راوارد کنید و Argumentsمورد نظر و در صورت مورد نیاز فیلد Commandانتخاب کنید و فیلد

.کلیک کنید Submitبر در آخر. در جدول اضافه کنید



.تنظیمات انجام شده را ذخیره کنید .۲۵



Cisco IOSبروید و Network Resources > Network Devices and AAA Clientsبه آدرس .۲۶

.جدید درست کنید



.وارد کنید و تایید کنید +TACACSو Name ،IP Address ،Shared Secretفیلد های .۲۷

و Authenticationکانفیگ همه ی دیوایس های سیسکو برای

Authorization .ابتدا کاربری داخلی با سطح دسترسی باال برای هر دیوایس سیسکو ایجاد کنید - ۱

username admin privilege 15 password 0 cisco123

۲ - AAA راenable کنید وIP مربوط بهACS همان (را بدهیدIP که باweb-console نیز وصل

.)می شوید

aaa new−model tacacs−server host 192.168.26.51 key cisco123

را ببیند؟ TACACSتست کنید که آیا دیوایس سیسکو می تواند سرور - ۳



test aaa group tacacs+ user1 xxxxx legacy Attempting authentication test to server−group tacacs+ using tacacs+ User was successfully authenticated.

.به ترتیب نام کاربری و رمز عبور هستند xxxxxو user1توجه کنید که :نکته

و Execدر authorizationرا ایجاد کنید و authenticationرا انجام دهید و loginکانفیگ - ۴command را کانفیگ کنید:

aaa authentication login default group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization commands 0 default group tacacs+ local aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local aaa authorization config−commands

تست و ارزیابیبا کاربری ادمین وارد شوید و هر Telnetها از طریق Cisco IOSبرای تست به یکی از .۱

command نیدای را تست کنید تا از دسترسی کامل اطمینان حاصل ک.

هایی که اجازه وارد کردن و commandحال با کاربری دسترسی پشتیبانی وارد شوید و .۲

هایی که اجازه ندارد را با خطای Command. یا آن هایی که اجازه ندارد را کنترل کنیدCommand Authorization Failed نمایش می دهد.



وارد Monitoring and Reports viewerوارد شوید و به بخش ACS GUIبه محیط .۳

را انتخاب کنید و عملیات کاربران AAA Protocol >TACACS+Authorization. شوید .گروه ادمین و پشتیبانی را بررسی کنید

Cisco ACS - cdigit.com · Cisco Secure ACS 5.3 Microsoft Windows Server 2003 Domain...

Documents

Transcript of Cisco ACS - cdigit.com · Cisco Secure ACS 5.3 Microsoft Windows Server 2003 Domain...